Trabajo de Investigación. Métricas de... · Dr. Eduardo Fernández-Medina Paton ... Luis Enrique...
Transcript of Trabajo de Investigación. Métricas de... · Dr. Eduardo Fernández-Medina Paton ... Luis Enrique...
CIBSI 2011 VI Congreso Iberoamericano de
Seguridad Informática
MGSM-PYME
Métricas de seguridad en los SGSIs, para conocer el nivel de seguridad de los SSOO y
de los SGBD
Antonio Santos-Olmo Parra ([email protected])
Dr. Luis Enrique Sánchez Crespo ([email protected])
Dr. Eduardo Fernández-Medina Paton ([email protected])
Dr. Mario Piattini Velthuis ([email protected])
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 2
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 3
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Uso de los SGSI: las Organizaciones en general, y PYMES en particular, han ido tomando consciencia de la necesidad que tienen de soluciones en el ámbito de la seguridad de la información que tengan en cuenta los objetivos de la empresa, aumentando el interés por esa seguridad de la información en los últimos años. - ¿Qué son los SGSI?: “un conjunto de procesos, políticas, procedimientos, análisis y tests, organizados de forma lógica y soportado por objetivos a nivel estratégico, estructurados principalmente por los requisitos presentados en la norma ISO 27001” basado en un modelo de evaluación y mejora continua (en ISO 27001, el ciclo PDCA). - “No se puede controlar lo que no se puede medir” => Si los controles establecidos no se pueden medir, entonces no aportarán nada al SGSI.
Introducción Introducción
Transparencia 4
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
-La ISO 27001 requiere que los controles sean mediables => La ISO 27004 aporta la forma de llevar a cabo dichas mediciones. - El establecimiento de métricas con las que conocer el estado de la seguridad resulta fundamental en la implantación y mantenimiento de un SGSI, debiendo aparecer a la vez que se produce la implantación de éste. - Ese conocimiento del estado de la seguridad es importante en la toma de decisiones. - La publicación de la norma ISO 27004 es la prueba de que la medición y evolución del estado son elementos vitales que se comienzan a tener en cuenta. A día de hoy, es un aspecto poco desarrollado en la gestión y mejora de los SGSI.
Introducción Introducción
Transparencia 5
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 6
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Hemos analizado los principales estándares de seguridad orientados a la gestión y medición de la seguridad de los sistemas:
-Estándares FIPS (Federal Information Processing Standard) – 140-1 y 140-2: conjunto normalizado de códigos utilizados para asegurar los datos, cubriendo áreas relacionadas con el diseño e implementación de un módulo criptográfico.
- SSE-CMM (Modelo de Capacidad y Madurez en la Ingeniería de Seguridad de Sistemas): modelo derivado del CMM. Describe características fundamentales de los procesos que deben existir en una Organización para asegurar una buena seguridad de sistemas. Primera versión en 1997 y actualización en 2003.
- La Serie 800 del NIST (National Insitute of Standards and Technology): agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos.
-NIST SP 800-55 (“Métricas de Seguridad para Sistemas de Tecnologías de la Información”): Publicada en 2003 y revisada en 2007. -NIST SP 800-80 “Guía para el desarrollo de métricas de seguridad de la información”: Publicada en 2006.
Estado del arte: Estándares analizados
Estado del arte
Transparencia 7
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
- Formada por los estándares relacionados con la seguridad de la
información, ya desarrollados o en fase de desarrollo. - Ofrecen un marco de gestión de la seguridad de la información, formando un conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI. - Para implementar un SGSI y afrontar un proceso de auditoría satisfactoriamente se requiere el conocimiento e interpretación de al menos la 27001, 27002 y 27006.
Estado del arte: ISO27000
Estado del arte
Transparencia 8
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte Estado del arte: ISO27000
Estado del arte
Transparencia 9
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
- Las dos normas más importantes y base de la familia son la 27001 y la
27002. - El resto de normas se consideran complementarias a la 27001 y la 27002, surgiendo como apoyo para la implementación en temas específicos o el proceso de auditoría del SGSI.
Estado del arte: ISO27000
Estado del arte
Transparencia 10
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Dos aspectos más destacados: descripción detallada de los controles y el método PDCA para aplicarlos. - Se basa en un ciclo de vida PDCA para toda la estructura de procesos del SGSI.
Estado del arte: ISO/IEC 27001:2005
Estado del arte
Transparencia 11
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Publicada en 2007, se corresponde con la ISO/IEC 17799:2005. Es una guía de buenas prácticas para la implementación de un SGSI describiendo los objetivos de control y controles recomendables respecto a la seguridad de información. No es certificable. Tiene 11 cláusulas de control de seguridad o dominios, que cubren los principales aspectos relacionados con la seguridad, conteniendo 39 objetivos de control y 133 controles.
Estado del arte: ISO/IEC 27002:2005
Estado del arte
Transparencia 12
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Publicada el 7 de Diciembre del 2009. Especifica las métricas de seguridad y las técnicas de medida aplicables para determinar la eficacia y eficiencia de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan principalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA . - Nace para marcar criterios de cara a una correcta medición de la eficacia de un SGSI. - No aporta una colección de métricas o indicadores a aplicar a cualquier SGSI sino que establece una metodología para determinar la efectividad de un SGSI mediante actividades y procesos sin establecer medidores o usar resultados a conseguir.
Estado del arte: ISO/IEC 27004:2009
Estado del arte
Transparencia 13
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Objetivos:
• Facilitar la mejora de la efectividad de la seguridad de la información.
• Evaluar la efectividad del SGSI y su mejora continua. • Lograr información objetiva y análisis para ayudar en la revisión
de la gerencia, la toma de decisiones y justificar mejoras en los controles.
• Evaluar la efectividad de los controles de seguridad y los
objetivos de control. - ISO/IEC 27004 se basa en el modelo PDCA (Plan-Do-Check-Act) estando las mediciones especialmente orientadas al “Do” (Implementación y operación del SGSI), como una entrada para el “Check” (Monitorizar y revisar), y así poder adoptar decisiones de mejora del SGSI mediante el “Act”.
Estado del arte: ISO/IEC 27004:2009
Estado del arte
Transparencia 14
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 15
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Herramienta Web
Normativas
Completa colección de métricas (Mediciones)
Herramientas del mercado
Caso práctico real
¿Cómo medir la Seguridad?
¿Material ISO 27004? ¿ISO
27004?
Accesibilidad Mantenimiento Costes
Objetivos
Transparencia 16
Objetivos
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Objetivo: Crear mecanismos que permitan medir el nivel de seguridad de los sistemas de información:
- Una valoración objetiva del nivel de riesgo del sistema.
- Un informe con los resultados de la auditoría, conteniendo vulnerabilidades encontradas y recomendaciones.
- Un histórico de las auditorías realizadas al sistema, junto con los resultados obtenidos.
Alcance:
- Desarrollo de los objetivos de control para cada ámbito.
- Automatización de parte de los objetivos de control.
- Utilización de la aplicación en entornos de desarrollo y producción de empresas reales.
Objetivos
Transparencia 17
Objetivos
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Las métricas para ser efectivas deben:
• Medir evolución de seguridad en el tiempo. • Estar asociadas con impactos financieros, y ser coherentes con
los objetivos de seguridad implantados. • Ser objetivas e imparciales. • Ser predictivas, consistentes y relevantes para Organización y
toma de decisiones. • Ser fuertes, confiables, defendibles y justificables. • Poder derivar acciones, ser fáciles de recolectar, definir,
implementar e interpretar, y ser reproducibles. • Estar ligados a los objetivos de negocio. • Estar expresadas en números cardinales o porcentajes, y
detalladas con unidades de medida.
Objetivos
Transparencia 18
Objetivos
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
- Beneficios y ventajas por el uso de métricas:
• Mejor comprensión de riesgos y debilidades. • Medición del desempeño de los controles. • Apoyo a la toma de decisiones. • Control de la situación real de la seguridad de la información. • Apoyo a la racionalización de costes. • Mayor eficacia de los procesos y actividades de seguridad de la
información, y actualización de tecnologías. • Identificación de problemas emergentes. • Verificación del cumplimiento de políticas y normativas. • Mostrar la evolución de la cultura de seguridad de la
información.
Objetivos
Transparencia 19
Objetivos
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Alcance inicial:
- Ámbitos de aplicación:
Windows 2003 Server
SQL Server 2005, 2008
Oracle 11i
Limitaciones:
- Funcionales: No todos los objetivos de control pueden ser automatizados.
- Temporales: El número de objetivos de control que es posible automatizar en el margen temporal marcado es de doce.
Objetivos Objetivos
Transparencia 20
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 21
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
- El coste de implantación de una métrica debe ser proporcional al
beneficio obtenido. - Una forma de implantación seguir las fases del modelo PDCA (como ISO 27004), haciendo coincidir su implementación con las fases seguidas en ISO 27001. - Desde el principio del ciclo PDCA, se debe considerar la escalabilidad de las métricas ya que conforme se van agrupando deberán proporcionar menos información de detalle aportándola de más alto nivel para la toma de decisiones.
ISO/IEC 27001
ISO/IEC 27004
PLAN
Establecer el SGSI
Definir las métricas
DO
Implementar y operar el SGSI
Implantar las métricas
CHECK
Supervisar y revisar el SGSI
Revisar los datos de las
métricas
ACT
Mantener y mejorar el SGSI
Revisar/Mejorar las métricas
Proceso de medición
Transparencia 22
Proceso de medición
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Cálculo del nivel de securización del sistema:
NR = (([PTVE]*100)/[PTVP]) NS = 100 – NR
- NR: Nivel de riesgo.
- NS: Nivel de securización.
- PTVE: Puntuación total de las vulnerabilidades encontradas.
- PTVP: Puntuación total de las vulnerabilidades posibles.
Proceso de medición
Transparencia 23
Proceso de medición
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Clasificación del riesgo:
Riesgo Intervalo
(según el nivel de
securización)
Descripción
Sin Riesgo 90% - 100% No se han detectado fallos graves
Riesgo
potencial 60% - 90%
Se han detectado fallos de nivel
medio
Alto riesgo 0% - 60% Se han detectado uno o varios
fallos de nivel alto
Proceso de medición
Proceso de medición
Transparencia 24
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 25
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Objetivo de Control: declaraciones de los resultados deseados u objetivos a ser alcanzados.
Para cada objetivo de control se definirá:
- Identificador
- Nivel
- Instante de aplicación
Niveles de valoración:
- Seguro: Valoración 0
- Inseguro: Valoración 1
- Muy Inseguro: Valoración 2
- Configuración correcta
- Prueba
- Escala de valoración
Definición de controles
Transparencia 26
Definición de controles
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Nivel: Acceso Servicio Aplicaciones Gestión Red
Total O.C: 8 4 3 8 2
Windows 2003 Server:
- 25 objetivos de control
- Nivel de seguridad máximo: 0
- Nivel de seguridad mínimo: 37
Definición de controles
Transparencia 27
Definición de controles
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Nivel: General Servidor SGBD BD
Total O.C: 4 3 26 4
SQL Server 2005:
- 37 objetivos de control
- 26 de ellos automatizables
- Nivel de seguridad máximo: 0
- Nivel de seguridad mínimo: 53
Definición de controles
Definición de controles
Transparencia 28
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Oracle 11i:
- 26 objetivos de control
- Nivel de seguridad máximo: 0
- Nivel de seguridad mínimo: 44
Nivel: General Servidor SGBD BD
Total O.C: 6 5 10 5
Definición de controles
Definición de controles
Transparencia 29
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 30
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Introducción de datos de la máquina a auditar.
Selección de la aplicación a analizar.
Selección de
conexión
Selección de
aplicación
Herramienta de medición
Herramienta
Transparencia 31
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
El nivel de securización se actualizará a medida que vayamos cumplimentando objetivos de control, bien automáticamente, bien de forma manual.
Cabecera del informe
Objetivos de control
Herramienta de medición
Herramienta
Transparencia 32
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Comprobación de los Objetivos de control:
- Información sobre el Objetivo de control, incluyendo la configuración adecuada del mismo, y sobre la prueba a realizar para comprobar su cumplimento.
- Selección de la valoración para el Objetivo de Control. Para cada valoración se ofrece su descripción.
- El auditor puede añadir las observaciones que considere oportunas de cara al informe.
Herramienta de medición
Herramienta
Transparencia 33
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
- Según la aplicación a auditar, se obtendrá un listado con los objetivos de control correspondientes, indicando cuales se comprueban de forma automática y cuales hay que comprobar manualmente.
- Una vez cumplimentados todos los objetivos de control, se obtendrá el nivel de securización de la aplicación auditada.
- El nivel de securización se obtendrá a partir de la discretización de los objetivos de control y su posterior ponderación. La puntuación obtenida sobre la máxima puntuación posible nos permitirá obtener un valor discretizado de securización para nuestra aplicación.
Herramienta de medición
Herramienta
Transparencia 34
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Otras operaciones:
- Modificación de la valoración de los objetivos de control, tanto de los manuales como de los automáticos:
No se está de acuerdo con la valoración calculada por la aplicación. En el caso de los objetivos automatizados, la aplicación obtiene automáticamente una valoración, aunque se ofrece al auditor la posibilidad de cambiarla a su criterio.
Se desea añadir información complementaria.
- Almacenaje del informe de auditoría en el histórico, posibilitando acceder a él en cualquier momento futuro.
- Generar un documento en Word con el informe de auditoría.
Herramienta de medición
Herramienta
Transparencia 35
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
- Listado de los informes de auditoría almacenados, ordenados por fecha.
- Seleccionando un informe, se accede a su detalle.
Histórico de auditorías
Herramienta de medición
Herramienta
Transparencia 36
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
- Informe: Listado de los objetivos de control, junto a su calificación en cuanto a cumplimiento, de forma general.
- Seleccionando un objetivo de control, se accede a su detalle.
Cabecera del
informe
Valoración de Objetivos
de control
Herramienta de medición
Herramienta
Transparencia 37
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Detalle de un Objetivo de control:
Se recupera información sobre:
- La valoración del Objetivo de control y la prueba realizada para verificar su cumplimiento.
- Las recomendaciones propuestas por la aplicación.
- Las observaciones anotadas por el auditor referentes a
dicho Objetivo de control.
Herramienta de medición
Herramienta
Transparencia 38
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte ISM2 Herramienta para la Gestión de Métrica de SGSIs
Herramienta
Transparencia 39
Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez.
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte ISM2 Herramienta para la Gestión de Métrica de SGSIs
Herramienta
Transparencia 40
Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez.
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte ISM2 Herramienta para la Gestión de Métrica de SGSIs
Herramienta
Transparencia 41
Desarrollada por: José Alberto Reinoso y Luis Enrique Sánchez.
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 42
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Pruebas
Pruebas de auditoría sobre servidores reales de las instalaciones de la empresa Sicaman Nuevas Tecnologías:
- Servidores W2003 de Producción y Desarrollo
- Servidores SQL Server 2005 de Producción y Desarrollo
- Servidor Oracle 11i
Resultados obtenidos:
Securización/
Servidor
Windows 2000
SQL SERVER
2000 Oracle 9i
Securización media
Servidor desarrollo [SQL]
51,35 52,83 - 52,22
Servidor desarrollo [ORA]
51,35 - 52,27 51,85
Servidor producción [SQL]
72,97 73,58 - 73,33
Resultados
Transparencia 43
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
- El entorno de producción de SNT tiene un nivel de securización medio, tanto a nivel de servidor, como a nivel de aplicaciones individuales. Sería aconsejable seguir las recomendaciones obtenidas de las auditorías, sobre todo teniendo en cuenta que es un entorno de producción.
- El entorno de desarrollo de SNT tiene un nivel de securización bajo, tanto a nivel de servidor, como a nivel de aplicaciones individuales, y tanto para entornos SQL Server como para entornos Oracle. Lo aconsejable para un entorno de desarrollo es situar el riesgo en un nivel medio, por lo que se aconseja seguir las recomendaciones de los informes de auditoría.
Conclusiones
Conclusiones y Trabajo futuro
Transparencia 44
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
1. Introducción.
2. Estado del arte.
3. Objetivos perseguidos en la investigación.
4. Desarrollo del proceso de medición.
5. Definición de los controles.
6. Herramienta.
7. Resultados prácticos.
8. Conclusiones y trabajo futuro.
Contenido de la presentación
Transparencia 45
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Estudio de la normativa vigente en materia de métricas… FIPS 140-1, FIPS 140-2, NIST SP 800-53, NIST SP 800-55, NIST SP 800-80, familia ISO/IEC 27000 (ISO 27001, ISO 27002, ISO 27004) Estudio de herramientas existentes en el mercado… MGSM-PYME, S2GSI, herramienta para el cálculo del GAP ISO 27001 de SIGEA, ISOTools, GlobalSGSI y Ecija | SGSI
Conclusiones
Conclusiones y Trabajo futuro
Transparencia 46
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Herramienta desarrollada: Aplicación que permite obtener de forma (en alto grado) automática:
- Una valoración del grado de securización de un sistema.
- Listado de puntos débiles detectados.
- Recomendaciones para aumentar el nivel de seguridad.
Ventajas sobre la auditoría manual:
- Bajo coste en recursos y tiempos.
- Generación automática de informes de auditoría.
- Obtención automática de configuraciones adecuadas, recomendaciones y pruebas de verificación.
- Histórico de auditorías.
Conclusiones y Trabajo futuro
Transparencia 47
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Más Mediciones. Varias para cada Control Dividir Mediciones
Más Indicadores y Medidas para las Mediciones
Nuevos tipos de Indicadores
Ampliar números rangos de % y señalización para
ellos
Conclusiones
Conclusiones y Trabajo futuro
Transparencia 48
Luis Enrique Sánchez Crespo
CIBSI 2011 Bucaramanga, Colombia
03 de Noviembre de 2011
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
1.- Introducción
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
2.- Estado del arte
Informe en pdf Gráficos de histórico
Nuevos tipos de usuario
Desarrollar parte de auditoría
Avisos de situaciones críticas. Más rangos %.
Posibilidad de diferenciar entre Organización
grande y PYME para una adecuada gestión del estado del SGSI adaptada a cada una.
Integración de la herramienta en sistemas para automatización de actualizaciones y revisiones
Conclusiones
Conclusiones y Trabajo futuro
Transparencia 49
CIBSI 2011 VI Congreso Iberoamericano de
Seguridad Informática
Gracias por su atención
Dr. Luis Enrique Sánchez Crespo ([email protected])
Esther Álvarez Gonzalez ([email protected])
Dr. Eduardo Fernández-Medina Paton ([email protected])
Dr. Mario Piattini Velthuis ([email protected])